Qualys, Inc., proveedor pionero y líder de soluciones de TI, seguridad y cumplimiento en la nube, ha hecho público un nuevo estudio de investigación en el que se analizan en profundidad las tendencias de explotación de vulnerabilidades y sus plazos. El estudio, que analiza más de 1.000 millones de registros CISA KEV en más de 10.000 organizaciones de todo el mundo a lo largo de un período de cuatro años (2022–2025), es la mayor investigación sobre vulnerabilidades y explotación realizada hasta la fecha. Bajo el título “The Broken Physics of Remediation“ (“La física rota de la remediación”), el informe de Qualys concluye que la velocidad es un factor crítico en la ciberseguridad actual, y que la única forma de contrarrestar el ritmo al que los atacantes están armando exploits es con el uso de inteligencia artificial y automatización para priorizar los riesgos que realmente importan.

Entre los principales hallazgos del informe destacan:
· El volumen de vulnerabilidades creció exponencialmente: Tras analizar más de 1.000 millones de KEV durante cuatro años, el estudio refleja que los eventos de vulnerabilidades cerradas se multiplicaron por 6,5 durante este período, pasando de 73 millones en 2022 a 473 millones en 2025.
· La remediación manual resulta insuficiente: A pesar de haberse producido un incremento en el procesamiento de incidencias, los equipos de seguridad dejaron el 63% de las vulnerabilidades críticas abiertas en el día 7 en 2025, empeorando frente al 56% registrado en 2022, lo que evidencia las limitaciones de los procesos manuales.
· La explotación precede a la divulgación: El tiempo medio hasta la explotación (Time-to-Exploit) descendió a menos de 1 día, lo que indica que los atacantes comprometen sistemas antes incluso de que las vulnerabilidades sean divulgadas públicamente.
· El MTTR oculta la ventana real de exposición: Dado que las vulnerabilidades son explotadas incluso antes de su divulgación, el MTTR (tiempo medio de remediación, medido desde el día 0) no refleja adecuadamente el riesgo real para las organizaciones. Los analistas de Qualys han utilizado el concepto de Ventana Media de Exposición (AWE), que mide el tiempo transcurrido desde la explotación hasta la remediación. Según este indicador, el 85% de los activos vulnerables permanecían sin parchear en el momento de la divulgación, el 33% seguían abiertos tras 21 días, y el 12% después de 90 días.
· Las vulnerabilidades de día cero dominan entre las amenazas críticas: De las 52 vulnerabilidades críticas analizadas, la mitad fueron explotadas antes de su divulgación pública. Se identificaron casos extremos, como una vulnerabilidad del kernel de Windows explotada 182 días antes de hacerse pública.
· Menos del 1% de las vulnerabilidades representan un riesgo real: De las 48.172 vulnerabilidades divulgadas en 2025, únicamente 357 (0,74%) eran explotables de forma remota y estaban siendo activamente utilizadas por atacantes. Este dato subraya la necesidad de adoptar marcos de priorización para identificar amenazas reales y automatizar la remediación.

“Nos enfrentamos a un escenario donde, por primera vez, el adversario ha adquirido capacidades autónomas y ahora es capaz de descubrir y ejecutar exploits a una velocidad superior a la capacidad de respuesta”, explica Sergio Pedroche, Country Manager de Qualys Iberia. “En este nuevo contexto, el ámbito defensivo debe evolucionar hacia un modelo igualmente autónomo, con la automatización y la IA como aliados para hacer frente a la nueva situación”.